Integration von Cloud-Services durch „RZ-Netz-Verlängerungen“ für Hybrid Clouds

Kommentieren Drucken

Unternehmen diskutieren aktiv über die Möglichkeit einer wirtschaftlichen Nutzung von Cloud-Services zur dynamischen Erweiterung ihrer Kapazitäten oder für besondere, neuartige Anwendungen wie BYOD. Schnell kommt man zu der Erkenntnis, dass dies durch Schaffung einer Verbindung zwischen einer privat aufgebauten Cloud-Struktur mit öffentlichen Cloud-Angeboten im Sinne einer Hybrid Cloud möglich sein könnte. Allerdings fehlen noch geeignete Bindungsglieder zwischen diesen Konzepten. Hier haben führende Hersteller jetzt Konzepte vorgestellt, die letztlich darauf hinauslaufen, dass für die Verbindung notwendigen Funktionen von der Providerseite als zusätzliche Leistung bereitgestellt wird.

Unternehmen sehr unterschiedlicher Größenordnung haben in den letzten Jahren ihre Infrastrukturen und Anwendungen erfolgreich virtualisiert. Sie sparen auf diese Weise Kosten und werden agiler. Die konsequente Ausweitung dieses Konzepts ist die Auslagerung von Anwendungen in virtualisierte Rechenzentren, die von Dienstleistungsanbietern aufgebaut und betrieben werden. Das ist an und für sich auch keine extravagante Idee. Schon seit vielen Jahren nutzen Unternehmen Auslagerungen. Eine Sparkasse hat z.B. praktisch kein nennenswertes eigenes RZ mehr, die meisten Aufgaben werden von den RZs der Sparkassen Informatik erledigt. Ein wirkliches Problem entsteht eigentlich erst dann, wenn der Betreiber eines ausgelagerten virtuellen RZs nicht zum eigenen Unternehmen gehört. Abgesehen von Vertrauens-, Sicherheits- und Haftungsproblemen gibt es auch verschiedene praktische, vergleichsweise triviale Fragestellungen, wenn man die Kooperation zwischen einem Unternehmens-RZ und einem virtualisierten Cloud-RZ eines Fremdanbieters betrachtet.

Die Verbindung zum Cloud-RZ gehört dem Provider und nicht dem Unternehmen. Daher kann das Unternehmen seine Netzwerk-Konfiguration nicht auf die Cloud ausdehnen. Die Niveaus, die man für Datenschutz und Datensicherheit im eigenen RZ hat, können nicht 1:1 auf die Sicherheitsniveaus eines virtuellen Cloud-RZs übertragen werden. Interessant wäre eine Cloud-Lösung vor allem dann, wenn ein Unternehmen viele Außenstellen betreibt und man bei geringfügigerem Datenaufkommen oder bei nicht so strengen Anforderungen hinsichtlich der Reaktionszeit die preiswerte Internet-Grundversorgung mit benutzen könnte. Vor allem in Städten, die ohnehin mit Glasfaserverbindungen zugepflastert werden, erscheint das als attraktive Alternative.

Dummerweise kann man aber heute die Zweigstellen noch nicht direkt mit den in der Cloud betriebenen Anwendungen verbinden und es muss immer der Umweg über das eigene RZ gewählt werden. Das ist auch für BYOD-Anwendungen sehr hinderlich, wenn man mobile Mitarbeiter einmal philosophisch als kleine Filialen betrachtet.

Was in diesen Fällen fehlt, ist ein „netzwerk-bewusster“ Endpunkt in der Cloud, der letztlich eine von außen kommende Verbindung korrekt an die VM weiterleitet, die im Cloud-RZ die Anwendung implementiert, die benutzt werden soll. Man kann das auch andersherum betrachten: es fehlt eine echte „RZ-Netz-Verlängerung“ in die Cloud, die letztlich den Wirkungsbereich der im unternehmenseigenen RZ definierten Wege und Methoden auf die in das Cloud-RZ verlagerten Anwendungsumgebungen erweitert, genau in dem Sinne, wie eine klassische Kanalverlängerung die in einem Großrechner-Betriebssystem definierten Wege und Methoden auf andere angeschlossene Geräte wie Speichersysteme überträgt.

Virtualisierungsumgebungen wie sie von VMware geliefert werden, würden das z.B. mit dem Konzept der erweiterten VM-Wanderungen durchaus hergeben.

In der Tat liegen die Probleme aber schlicht in den Netzwerk-Infrastrukturen.

Cloud-Konzepte stellen nämlich nicht nur Unternehmen, sondern vor allem Provider vor neue Anforderungen hinsichtlich der Netze. Ein primärer Punkt dabei ist die angesichts der angestrebten Ziele immer noch zu geringe Skalierbarkeit von Switching-Infrastrukturen. Darüber hinaus hat ein Cloud-Provider Probleme, einem Nutzer mit hinreichender Qualität sinnvoll zu verwaltende Ende-zu-Ende Verbindungsdienste anzubieten. Das betrifft QoS-Aspekte, Service Level Agreements und die Transparenz von und für den Zugriff auf Anwendungen.

Da Cisco sowohl bei den Corporate-RZs als auch bei den Provider-RZs Marktführer hinsichtlich der Vernetzung ist, wurde von diesem Hersteller ein Lösungsansatz erwartet. Den gibt es nun in Form des Cisco CSR 1000v und er ist für einen initialen Ansatz überzeugend ausgefallen.

Der CSR 1000v ist ein Software-Router, den ein Unternehmen oder ein Provider in Form einer VM (unter VMware ESXi oder Citrix XenServer) in eine Provider-Cloud einpflanzen kann. Er implementiert IOS- und Sicherheits-Features.

Eine typische Cloud liefert IT-Infrastrukturen und Betriebsmittel an viele verschiedene Kunden. Die Funktion des CSR 1000v ist primär die eines spezifischen Routers für jeden Kunden. Das bedeutet, dass jeder Kunde seine eigene Routing-Instanz bekommt und damit verbunden eigene VPN-Verbindungen, Firewall Policies, QoS-Regeln, Access Controls usw., die man mit einem modernen, sicheren Netz verbindet.

Beispiel: ein Unternehmen möchte eine sichere Verbindung mit der nicht im Bereich des Unternehmens liegenden Public Cloud. Der CSR 1000v bietet in diesem Zusammenhang folgende Funktionsbereiche an: IPsec, DM VPN, Easy VPN, Flex VPN, BGP, OSPF, EIGRP, zonenbasierte Firewalls, ACL, AAA, NAT und DHCP. Nachdem ein Unternehmen den CSR 1000v in der Cloud platziert hat, kann das virtuelle Gerät über sein Command Line Interface und das Cisco Prime Network Control System eingerichtet und verwaltet werden. Mit seinen Möglichkeiten hinsichtlich der VPNs und des Routings kann der CSR 1000v in jedes Unternehmensnetz eingebunden werden. Ein Unternehmen kann dann auch seine verteilt liegenden Sites direkt dynamisch einbinden und somit nicht nur die Latenz, die beim unnötigen Rücklauf durch das Unternehmensnetz erzeugt wird, vermeiden, sondern sich auch die umständliche Verwaltung der Punkt-zu-Punkt IPsec-VPNs sparen. Technisch ergänzt der IOS-basierte CSR 1000v die weit verbreiteten ISRs und ASRs von Cisco. Unternehmen können damit nun einen „Cisco-Endpunkt“ an jedem Knoten ihres Netzes erzeugen und somit die gesamten vertrauten Konfigurations- und Sicherheitslösungen auf ihr nunmehr hybrides Netz übertragen.

Weiteres Beispiel: ein Cloud-Provider möchte seinen Kunden Netzwerk-Services anbieten, die sicheren Zugriff und eine optimierte, unterbrechungsfreie Bereitstellung von Anwendungen ermöglichen. Instrumente des CSR 1000v umfassen in diesem Fall AppNav/WCCP, Zonen-basierte Firewalls, NAT, LISP, DHCP und HSRP. Der Provider kann die durch IOS bereitgestellten Mechanismen für Sicherheit, Anwendungstransparenz, Leistung, Monitoring und von der Virtualisierungsebene bereitgestellte Mechanismen für unterbrechungsfreien Betrieb und Hochverfügbarkeit jetzt auf den Kunden übertragen.

Der CSR 1000v enthält mit IOS-XE das gleiche Betriebssystem wie die ASR 1000 Router. Durch eine Trennung von Kontroll- und Datenebene ermöglicht IOS-XE neben Multi-Core-Forwarding auch jederzeit die Hinzufügung neuer Netzwerkfunktionen. Hat ein Nutzer Erfahrung mit dem Betrieb von Cisco ISR- oder ASR-Plattformen, kann er diese sofort auf den virtuellen CSR-Router übertragen.

Es wird jetzt wieder viele Stimmen geben, die an dem CSR 1000v etwas auszusetzen haben. Sei es die Realisierung als Software- und nicht als Hardware-Komponente oder die Zementierung von Cisco-Lösungen auf beiden Seiten. Manche mögen im CSR 1000v auch den Karpaten-Hamster der Cloud-Diskussion sehen.

Aber: die Idee ist gut!

Heutige Unternehmen sind im Hinblick auf den Einsatz von öffentlichen Cloud-Angeboten zu vergleichen mit jemandem, der seine Wertsachen in einen Tresor versenken soll, zu dem er keinen freizügigen Zugang hat. Die Aussage „Wir machen das schon für Sie“ des Tresor-Anbieters verleitet eher dazu, die Sachen wie bisher unter die Matratze zu stopfen.

Mit einem Konzept wie dem CSR 1000v bekommt ein Unternehmen einen zuverlässigen Agenten in den feindlichen Linien, der überdies noch nützliche Funktionen ausübt. Das ist ein völlig neuer, interessanter Ansatz.

Provider können das auch aufgreifen und die Bereitstellung eines solchen Agenten als erweiterte Cloud-Dienstleistung verkaufen. Sie können davon ausgehen, dass der Markt das annehmen wird, sofern die Mehrkosten übersichtlich sind.

Bleibt eigentlich nur noch das Problem, dass für den erfolgreichen Einsatz sowohl beim Kunden als auch beim Provider eine komplette Netz-Infrastruktur von Cisco stehen muss. Glaubt man Marktbeobachtern wie Infonetics, ist das aber schon in ¾ aller Fälle jeweils gegeben. Andererseits ist es natürlich keinem Hersteller verwehrt, etwas Ähnliches für seine Umgebungen anzufertigen.

Und, es gibt noch ein Argument. Konzepte wie vCloud von VMware sehen vor, dass VMs zwischen verschiedenen Clouds reisen können, ohne dass man die Kontrolle über sie verliert. EMC hat schon vor Wochen ein Konzept vorgestellt, bei dem Virtuelle Speichersysteme auf Kundenseite mit Virtuellen Speichersystemen auf Providerseite kommunizieren und die Kunden spezifische Informationen z.B. aus Zusatzfunktionen, wie sie ja bei derartigen Systemen üblich sind, verwerten können. Also ist es nur konsequent, zwischen dem privaten und dem öffentlichen Teil einer Hybrid Cloud einen ähnlichen zielorientierten Informationsfluss zu verlangen. Und ein Agent wie ein CSR 1000v ist sicherlich ein gangbarer Weg, dies zwischen „passenden“ Umgebungen zu realisieren.

Insgesamt hat Cisco die sog. „Cisco Cloud Connected Solution“ angekündigt, zu der noch weitere Elemente gehören, die allerdings primär dem WAN-Betrieb zuzuordnen sind.

Mich erinnert der CSR 1000v an die SNMP-Agenten vor Jahrzehnten. Das Konzept wurde damals belächelt, auch weil die Agenten dem damaligen Stand der Technik entsprechend sehr klein und die Aktionen sehr dürftig waren. Heute sorgen Abermillionen dieser Agenten unauffällig für die Überwachung enormer Netze. Die Einbringung von Kontrollkomponenten in Umgebungen, die man benutzen möchte, ohne sie ganz zu besitzen, ist unabdingbar. Vertrauen ist gut. Kontrolle ist besser!

Aktueller Kongress zum Thema
ComConsult Rechenzentrum Infrastruktur-Redesign Forum 2012
Unsere Rechenzentren befinden sich in einer der größten Redesign-Phasen der letzten 20 Jahre. Die Entwicklung der letzten Monate hat gezeigt, dass hier eine völlig neue Form der Kommunikation und Zusammenarbeit zwischen Systembausteinen entsteht. Das ComConsult Rechenzentrum Infrastruktur-Redesign Forum 2012 stellt sich diesen herausragenden Themen. Zur Veranstaltung »
zugeordnete Kategorien: LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.